Já foi o tempo em que a ameaça vinha de fora… Com as botnets, além de nos preocuparmos com possíveis ataques, também precisamos garantir que não estamos “atacando” ninguém.
Botnets são rede de computadores infectados, que passam a ser controladas pelo botmaster. Uma botnet pode ter computadores espalhados pelo mundo, e seu controlador a utiliza, sem que os verdadeiros donos dos PCs percebam, para enviar spam e fazer ataques, entre outros.
Segundo estimativa do FBI, existem entre 1 e 5 milhões de hosts infectados nos Estados Unidos e uma botnet pode ser “alugada” por até 50 mil dólares por dia.
Para evitar estes tipo de problema o Cisco ASA, com a licença apropriada, pode fazer a verificação dinâmica, através de URL ou IP, e identificar a comunicação entre um host infectado e seu controlador.
Após habilitar a verificação, quando um host interno tenta acessar uma URL, o ASA consulta o DNS para transformar a URL em IP e então compara com sua base de dados, que é constantemente atualizado pelo Cisco Security Intelligence Operations (trabalha com reputação, como o Senderbase e o Ironport). Caso este IP esteja na base de dados, ele é adicionado no DNS Reverse Lookup Cache, que é consultado quando a conexão é realizada. Assim, todas vez que um host se conectar a este IP é gerando um log, para que o administrador possa tomar as medidas cabíveis.
Também é possível criar sua própria blacklist e whitelist.
Configurando o ASA para detectar botnets
1°) Configure o DNS no ASA, para que as URLs (nomes) possam ser convertidos para IP.
dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
domain-name brainwork.com.br
2°) Habilite o dynamic-filter updater-client, para baixar as atualizações do SIO.
dynamic-filter updater-client enable
3°) Configure o ASA para utilizar o banco de dados (também podemos configurar para usar black list).
dynamic-filter use-database
4°) Habilite a filtragem para todos os protocolos.
access-list dynamic-filter_acl extended permit ip any any
5°) Aplique a filtragem na interface de saída, neste caso a outside.
dynamic-filter enable interface outside classify-list dynamic-filter_acl
6°) Agora habilite o DNS snooping na interface outside, que fará a inspeção nas consultas DNS.
class-map dynamic-filter_snoop_class
match port udp eq domain
policy-map dynamic-filter_snoop_policy
class dynamic-filter_snoop_class
inspect dns dynamic-filter-snoop
service-policy dynamic-filter_snoop_policy interface outside
7°) (Opcional) Adicione entradas na black e white lists.
dynamic-filter blacklist
name exemploblack1.com.br
name exemploblack2.com.ru
address 200.20.20.1 255.255.255.255
dynamic-filter whitelist
name exemplowhite1.com.br
name exemplowhite2.com
address 200.30.1.1 255.255.255.255
Bloqueando a botnet
Após as configurações o ASA passará a gerar logs quando um host tentar acessar um IP com má reputação.
Exemplo de log
ASA-4-338002: Dynamic Filter permitted black listed TCP traffic from inside:10.1.1.45/6798 (209.165.201.1/7890) to outside:209.165.202.129/80 (209.165.202.129/80), destination 209.165.202.129 resolved from dynamic list: bad.example.com
Após verificar o log, devemos impedir que o host infectado tenha acesso a rede.
1°) Crie uma access-list.
access-list bloquear_botnet extended deny ip host 10.1.1.45 host 209.165.202.129
access-list bloquear_botnet extended permit ip any any
2°) Aplique a access-list na interface outside.
access-group bloquear_botnet out interface outside
No site da Cisco também tem um vídeo tutorial, mostrando como fazer esta configuração via ASDM.
Até a próxima.
